Методика оценки угроз ФСТЭК 2021: разбор этапов для ИСПДн

Модель угроз безопасности персональных данных — это документ, описывающий потенциальные угрозы информационной системе персональных данных (ИСПДн) и оценивающий их актуальность. Документ является обязательным в соответствии с Приказом ФСТЭК России N 21 от 18.02.2013.

Модель угроз определяет, от каких конкретно угроз необходимо защищать ИСПДн, и служит основой для выбора мер защиты. Без модели угроз невозможно обоснованно определить набор средств защиты информации.

Документ разрабатывается для каждой ИСПДн отдельно, поскольку разные системы обрабатывают разные категории данных и имеют различную архитектуру.

В феврале 2021 года ФСТЭК утвердил новую «Методику оценки угроз безопасности информации». Она заменила устаревшую методику 2008 года и применяется для государственных информационных систем, ИСПДн и критической информационной инфраструктуры.

Новая методика предлагает риск-ориентированный подход: угрозы оцениваются с учётом потенциального нарушителя, его возможностей и мотивации, а также сценариев реализации угрозы. Вместо формального перебора угроз из банка данных ФСТЭК требуется анализировать реальную инфраструктуру.

Ключевое нововведение — обязательная привязка к Банку данных угроз безопасности информации (bdu.fstec.ru), который содержит более 200 типовых угроз с описанием источников и последствий.

Первый этап — определение объекта оценки: описание ИСПДн, её архитектуры, состава технических и программных средств, каналов передачи данных, пользователей и администраторов системы.

Второй этап — определение возможных негативных последствий от реализации угроз. Сюда входят нарушение конфиденциальности, целостности и доступности ПДн, а также финансовый и репутационный ущерб оператору.

Третий этап — определение источников угроз и оценка возможностей нарушителей. Четвёртый этап — анализ возможных способов реализации угроз и формирование перечня актуальных угроз с указанием сценариев.

Угроза признаётся актуальной, если существует нарушитель с достаточными возможностями и мотивацией, имеется уязвимость или недостаток в системе защиты, и существует реальный сценарий реализации угрозы в условиях конкретной ИСПДн.

Для типовых коммерческих ИСПДн актуальными обычно являются: несанкционированный доступ через уязвимости ПО, утечка через каналы связи, действия внутреннего нарушителя (увольняемый сотрудник), вредоносное ПО, потеря носителей информации.

Неактуальными для большинства систем признаются угрозы со стороны спецслужб иностранных государств (для некритичных систем), угрозы через ПЭМИН (побочные электромагнитные излучения), а также атаки на аппаратные закладки.

Для типовой ИСПДн кадрового учёта малого предприятия модель угроз включает описание системы: автономный сервер с 1С, 3 рабочие станции, локальная сеть без выхода в интернет. Категории данных — общедоступные и иные. Субъекты — сотрудники (до 500 человек).

Актуальные угрозы: несанкционированный доступ внутреннего нарушителя (бывший сотрудник, не деактивированная учётная запись), вредоносное ПО через съёмные носители, несанкционированное копирование базы данных, нарушение доступности при сбое оборудования.

По каждой актуальной угрозе указывается: источник, объект воздействия, способ реализации, последствия и ссылка на идентификатор из БДУ ФСТЭК.

Первая ошибка — формальный подход: копирование шаблона без адаптации под реальную инфраструктуру. Проверяющие из ФСТЭК обращают внимание на соответствие модели фактическому состоянию ИСПДн.

Вторая ошибка — использование устаревшей методики 2008 года. С 2021 года необходимо применять новую методику. Модели, составленные по старой методике, рекомендуется переработать.

Третья ошибка — игнорирование внутреннего нарушителя. Статистика показывает, что более 60% утечек ПДн происходят по вине сотрудников. Четвёртая ошибка — отсутствие пересмотра: модель угроз должна актуализироваться при изменении инфраструктуры, но не реже одного раза в год.